Willkommen

KI-Richtlinie

Künstliche Intelligenz im Unternehmen: Chancen nutzen – Risiken steuern

Der Einsatz Künstlicher Intelligenz (KI) im Unternehmen verspricht erhebliche Effizienzgewinne, birgt jedoch gleichzeitig erhebliche datenschutzrechtliche und regulatorische Herausforderungen. Mit der Datenschutz-Grundverordnung (DSGVO) und der EU-Verordnung über Künstliche Intelligenz (KI-VO) bestehen bereits heute – und in Zukunft noch verstärkt – verbindliche Vorgaben, die beim Einsatz von KI-Systemen zwingend zu beachten sind.

 

Regulatorischer Rahmen: DSGVO und KI-VO

Schutz personenbezogener Daten bei KI-Anwendungen

Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden – was bei KI-Systemen in der Regel der Fall ist. Entscheidend sind insbesondere folgende Anforderungen:

  • Zweckbindung & Datenminimierung (Art. 5 DSGVO): KI-Systeme dürfen nur für klar definierte, legitime Zwecke eingesetzt werden.

  • Rechtsgrundlage (Art. 6 DSGVO): Jede Verarbeitung personenbezogener Daten durch KI benötigt eine gültige Rechtsgrundlage (z. B. Einwilligung, berechtigtes Interesse).

  • Transparenz (Art. 13, 14 DSGVO): Betroffene müssen verständlich über den Einsatz der KI informiert werden.

  • Betroffenenrechte (Art. 15–22 DSGVO): Automatisierte Entscheidungen (z. B. Scoring oder Profiling) müssen nachvollziehbar sein; es besteht ein Recht auf menschliches Eingreifen (Art. 22 DSGVO).

  • Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Bei hohem Risiko für Rechte und Freiheiten muss vorab eine DSFA durchgeführt werden.

 

KI-VO – neue Pflichten für Hochrisiko-KI-Systeme

Die EU-KI-Verordnung (voraussichtlich Inkrafttreten 2025–2026) sieht ein abgestuftes Risikomodell vor. Besonders relevant für Unternehmen sind die sogenannten Hochrisiko-KI-Systeme – z. B. im Bereich Personalwesen, Kreditvergabe oder biometrische Identifikation.

Für diese Systeme gelten u. a.:

  • Registrierungs- und Konformitätspflichten,

  • Risikomanagementsysteme,

  • Transparenzanforderungen und menschliche Aufsicht,

  • Protokollierung, Datenqualität und Cybersicherheit.

Ein Verstoß gegen die KI-VO kann mit erheblichen Bußgeldern geahndet werden – ähnlich wie bei der DSGVO.

 

Empfehlung: Erlaubnisvorbehalt für den KI-Einsatz im Unternehmen

Um rechtliche Risiken zu vermeiden und einen kontrollierten Technologieeinsatz sicherzustellen, ist ein unternehmensweiter Erlaubnisvorbehalt für KI-Systeme dringend zu empfehlen.

Das bedeutet konkret:

 

KI-Systeme dürfen im Unternehmen nur nach Freigabe durch eine zentrale Stelle eingeführt oder genutzt werden.

Dabei sollten folgende Prüfkriterien verbindlich etabliert werden:

  • Liegt eine Datenschutzfolgenabschätzung (DSFA) vor?

  • Ist die Verarbeitung auf eine geeignete Rechtsgrundlage gestützt?

  • Wird ein Hochrisiko-System im Sinne der KI-VO eingesetzt?

  • Sind Betroffene angemessen informiert?

  • Besteht ein Risiko automatisierter Einzelentscheidungen?

Dieser Erlaubnisvorbehalt dient nicht nur der Rechtskonformität, sondern schützt das Unternehmen auch reputativ und wirtschaftlich.

 

Benennung eines KI-Beauftragten – zentrale Koordination für Recht, Technik und Ethik

Zur praktischen Umsetzung der regulatorischen Anforderungen und zur internen Koordination empfiehlt sich die Einführung eines unternehmensinternen KI-Beauftragten – analog zur Rolle eines Datenschutzbeauftragten.

Der KI-Beauftragte übernimmt insbesondere folgende Aufgaben:

  • Prüfung von KI-Projekten auf DSGVO- und KI-VO-Konformität,

  • Beratung der Fachabteilungen bei der Entwicklung oder Auswahl von KI-Systemen,

  • Koordination mit Datenschutz, IT-Sicherheit, Compliance und Legal,

  • Mitarbeitersensibilisierung und interne Schulung,

  • Dokumentation der eingesetzten Systeme und Maßnahmen.

Zudem dient der KI-Beauftragte als zentrale Ansprechperson für Beschäftigte, die Fragen oder Bedenken zum KI-Einsatz haben – insbesondere im Hinblick auf Transparenz, Profiling oder automatisierte Entscheidungen.

 

Fazit: KI verantwortungsvoll steuern – mit klaren Zuständigkeiten und Prozessen

Der Einsatz von KI im Unternehmen ist kein reines Innovationsthema – er betrifft Datenschutz, Compliance, ethische Verantwortung und strategische Unternehmensführung.

Durch die Kombination aus:

  • einem verbindlichen Erlaubnisvorbehalt,

  • einer strukturierten Risiko- und Rechtsprüfung,

  • sowie der Einführung eines KI-Beauftragten

wird ein verantwortungsvoller und rechtskonformer Einsatz von KI möglich. So lassen sich technologische Potenziale nutzen, ohne regulatorische Fallstricke zu riskieren.

Im Rahmen unserer Compliance-Beratung verknüpfen wir die Anforderungen der KI-Verordnung mit Ihren Unternehmensprozessen: Wir analysieren Ihre KI-Anwendungen, entwickeln maßgeschneiderte Richtlinien und schulen Ihre Mitarbeitenden – für einen rechtssicheren Einsatz und nachhaltige Innovation.

Wenn Sie eine KI-Richtlinie benötigen oder Fragen hierzu haben, freut sich unser Team auf Ihre Nachricht.

Autor:Markus Vatter

Hier erfahren Sie mehr.

Ich berate Sie gerne und freue mich auf Ihre Fragen.

Head of Compliance

Markus Vatter

+49 7121 6808490
markus.vatter@bitbasegroup.com